Microsoft наконец-то объяснила причину взлома Azure
Взлом затронул около 25 организаций.© Ferra.ru / Kandinsky 2.2
Угроза, идентифицированная как Storm-0558, получила доступ к корпоративной сети через учетную запись инженера, что позволило ей получить просроченный ключ подписи потребителя учетной записи Microsoft. Этот ключ использовался для подделки токенов для облачного сервиса Azure Active Directory.
Нарушение произошло во время стандартной операции crash dump, при которой данные, хранящиеся в памяти, записываются на диск в целях диагностики. В данном случае уязвимость не позволила отредактировать чувствительный ключ подписи из аварийного дампа, что дало злоумышленнику возможность получить к нему доступ. Затем Storm-0558 использовал этот ключ для компрометации учетной записи инженера, который имел доступ к отладочной среде, содержащей аварийный дамп.
Сообщение Microsoft проливает свет на факт взлома, но вызывает вопросы относительно хранения и извлечения ключей из предполагаемого аппаратного модуля безопасности (HSM).